谷歌 ProjectZero 研究小组(ProjectZero Research
Group)一名成员周四晚表示,攻击者正在利用谷歌Android移动操作系统中的 0
day
漏洞,使他们完全控制至少18种不同手机,包括4种不同型号的谷歌Pixel手机。

谷歌Project Zero团队警告Pixel、Pixel 2、Galaxy
S9、华为P20和其他数百万安卓手机用户,新的“零日漏洞”(zero-day
vulnerability)可能会让黑客完全控制你的手机。

当地时间10月4日,谷歌发布安卓高危漏洞,华为、三星、小米等至少18款设备受影响。目前该漏洞已被修复,并将在10月安全更新中发布。谷歌发现该漏洞在现实世界中使用的实例,并称以色列的NSO集团正在利用此漏洞。

澳门新葡萄京所有网站 1

谷歌Project Zero团队警告Pixel、Pixel 2、Galaxy
S9、华为P20和其他数百万安卓手机用户,新的零日漏洞(zero-day
vulnerability)可能会让黑客完全控制你的手机。更糟糕的是,有证据表明,它正在被黑客积极地利用。

综合The Register等多家科技媒体4日报道,谷歌ProjectZero研究小组成员Maddie
Stone发帖称,该小组日前发现安卓系统中的“零日漏洞”。上述漏洞于9月27日首次向安卓团队公开,并被要求在7天之内修复,10月4日向社会公开。

澳门新葡萄京所有网站,ProjectZero 项目成员Maddie Stone在帖子中说,有证据表明漏洞利用者NSO
Group或其客户之一正在积极利用该漏洞。漏洞利用几乎不需要定制即可完全扎根易受攻击的手机。可以通过两种方式利用此漏洞:

安卓高危漏洞真的吗?哪些手机品牌受影响了?

作为本地特权升级漏洞,此次发布的漏洞只需要很少或根本不需要定制即可完全获得被攻击手机的root权限,可通过安装不受信任的应用或于Chrome浏览器内容结合攻击受影响的手机。谷歌随后公布了多款可受攻击的手机型号,包括多款三星手机、谷歌Pixel手机,还有华为、小米、OPPO等品牌。

(1)当目标安装不受信任的应用程序时,

谷歌随后公布了多款可受攻击的手机型号,包括多款三星手机、谷歌Pixel手机,还有华为、小米、OPPO等品牌。

谷歌小组成员发帖截图,下同

(2)通过将此漏洞与针对Chrome浏览器用于呈现内容代码的漏洞攻击结合使用。

安卓曝高危漏洞什么情况?该漏洞有什么危害?

谷歌发现该漏洞在现实世界中使用的实例,并认为以色列的NSO集团正在利用此漏洞。后者是一家涉嫌袭击人权和政治活动家的公司。随后,NSO回应称:“不会出售,也绝不会出售漏洞利用程序或漏洞。此漏洞与NSO无关。”

Maddie
Stone表示,该漏洞是一个本地特权提升漏洞,它可以完全破坏易受攻击的设备,受此漏洞影响的设备如下:

据悉,该漏洞的危害在于,入侵者只需要很少或根本不需要定制即可完全获得被攻击手机的root权限,可通过安装不受信任的应用,或与Chrome浏览器内容结合攻击受影响的手机。这些手机包括华为、小米、三星等至少18款机型受到影响。

据介绍,上述漏洞最初出现在Linux内核中,并于2018年初进行了修补。由于帖子中未解释的原因,这些补丁从未进入安卓安全更新。

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • 华为 P20
  • 红米5A
  • 红米 Note 5
  • 小米A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • 三星 S7
  • 三星 S8
  • 三星 S9

根据谷歌的说法,这个漏洞几乎不需要对每个设备进行定制,但确实需要在Chrome沙箱中安装恶意应用程序,或者通过不可信的应用商店或源代码安装。这意味着它不能远程执行,所以只要保持警惕就可以保持安全。

Google
资讯安全团队表示,针对此次发现的漏洞目前已被修复,并将在10月安全更新中发布的修补版本。该团队呼吁使用上述清单的手机用户在收到更新通知后,尽快升级系统。此外,也不要随意安装来路不明的应用程序。

谷歌Android团队表示,谷歌10月Android安全更新将修补此漏洞,该更新可能会在未来几天内发布给Pixel系列手机用户。修补其他设备的时间表尚不清楚。
Pixel 3和Pixel 3a设备不受影响。

研究人员Maddie
Stone解释道,该漏洞是一个本地特权升级漏洞,它可以对易受攻击的设备进行全面攻击。他还表示:如果此漏洞是通过Web传递的,则只需与呈现程序漏洞配对,因为此漏洞可通过沙盒访问。

本文系观察者网独家稿件,未经授权,不得转载。

Google代表在一封电子邮件中写道:“ Pixel
3和3a设备不容易受到此问题的影响,谷歌10月Android安全更新将为Pixel
1和2修补此漏洞,该版本将在未来几天内交付给客户。此外,已经为合作伙伴提供了补丁,以确保保护Android生态系统免受此问题侵害。

目前,该漏洞已于10月安全更新中被修复。

来源:

你的安桌手机有受高危漏洞影响吗?